Video: COVID-19 CORONAVIRUS ZOMBIE first person (pov) (September 2024)
Min Security Watch-kollega Fahmida Rashid har en DNS-upplösare i sin källare, men för de flesta hem- och småföretagsnätverk är DNS bara en annan tjänst som levereras av ISP. En mer trolig plats för problem är ett företag som är tillräckligt stort för att ha sin egen kompletta nätverksinfrastruktur men inte tillräckligt stor för att ha en nätverksadministratör på heltid. Om jag arbetade i ett sådant företag skulle jag vilja kontrollera min DNS-upplösare för att se till att den inte kunde skrivas in i en zombiehär.
Vad är min DNS?
Att kontrollera dina Internetanslutningsegenskaper eller ange IPCONFIG / ALL på en kommandotolken hjälper inte nödvändigtvis att identifiera IP-adressen till din DNS-server. Chansen är god att det i internetanslutningens TCP / IP-egenskaper är inställt att få en DNS-serveradress automatiskt, och IPCONFIG / ALL kommer förmodligen att visa en intern-NAT-adress som 192.168.1.254.
Lite sökning visade upp den praktiska webbplatsen http://myresolver.info. När du besöker den här webbplatsen rapporterar den din IP-adress tillsammans med adressen till din DNS-upplösare. Beväpnad med denna information kom jag med en plan:
- Gå till http://myresolver.info för att hitta IP-adressen till din DNS-rekursiva resolver
- Klicka på länken {?} Bredvid IP-adressen för mer information
- I det resulterande diagrammet hittar du en eller flera adresser under rubriken "Meddelande", t.ex. 69.224.0.0/12
- Kopiera den första av dessa till urklipp
- Navigera till Open Resolver Project http://openresolverproject.org/ och klistra in adressen i sökrutan nära toppen.
- Upprepa för eventuella ytterligare adresser
- Om sökningen kommer tom är du OK
Eller är du?
Sanitetskontroll
Jag är i bästa fall en nätverksdilettant, absolut ingen expert, så jag körde min plan förbi Matthew Prince, VD för CloudFlare. Han påpekade några brister i min logik. Prince konstaterade att mitt första steg sannolikt kommer att återvända "antingen upplösaren som drivs av deras Internetleverantör eller någon som Google eller OpenDNS." Han föreslog istället att man kan "ta reda på vad ditt nätverk är IP-adress och sedan kontrollera utrymmet runt det." Eftersom myresolver.info också returnerar din IP-adress är det enkelt nog; du kan kolla båda.
Price påpekade att den aktiva DNS-upplösaren som används för frågor i ditt nätverk troligen är korrekt konfigurerad. "De öppna upplösarna är ofta inte vad som används för datorer, " sade han, men för andra tjänster… Dessa är ofta glömda installationer som körs i ett nätverk någonstans som inte används för mycket."
Han påpekade också att Open Resolver Project begränsar antalet adresser som har kontrollerats med varje fråga till 256 - det är vad "/ 24" efter IP-adressen betyder. Prince påpekade att "att acceptera mer kan tillåta dåliga killar att använda projektet för att själva upptäcka öppna upplösare."
För att kontrollera nätverkets IP-adressutrymme, förklarade Prince, börjar du med din faktiska IP-adress, som har formen AAA.BBB.CCC.DDD. "Ta DDD-delen", sa han, "och ersätt den med en 0. Lägg sedan till a / 24 till slutet." Det här är värdet du skickar till Open Resolver Project.
När det gäller min slutsats, att en tom sökning betyder att du är OK, varnade Prince för att det inte är riktigt. Å ena sidan, om ditt nätverk sträcker sig över 256 adresser "kanske de inte kontrollerar hela företagets nätverk (ett falskt negativt)." Han noterade vidare, "Å andra sidan har de flesta småföretag och bostadsanvändare faktiskt en tilldelning av IP: er som är mindre än a / 24, så att de effektivt kommer att kontrollera IP: er som de inte har någon kontroll över." Ett icke-OK resultat kan då vara ett falskt positivt resultat.
Prince drog slutsatsen att den här kontrollen kan ha någon nytta. "Se bara till att du ger alla lämpliga varningar, " sade han, "så att människor inte får en falsk känsla av säkerhet eller panik om sin grannas öppna resolver som de inte har någon kontroll över."
Ett större problem
Jag fick en ganska annorlunda syn från Gur Shatz, VD för webbplatsens säkerhetsföretag Incapsula. "För både bra och dåliga", sade Shatz, "det är lätt att upptäcka öppna upplösare. Bra killar kan upptäcka och fixa dem; onda kan upptäcka och använda dem. IPv4-adressutrymmet är mycket litet, så det är lätt att kartlägga och skanna Det."
Shatz är inte optimistisk när det gäller att lösa problemet med öppen upplösare. "Det finns miljoner öppna upplösare, " noterade han. "Vilka är chansen att få dem alla att stängas av? Det kommer att bli en långsam och smärtsam process." Och även om vi lyckas är det inte slutet. "Andra amplifieringsattacker finns", konstaterade Shatz. "DNS-reflektion är bara det enklaste."
"Vi ser större och större attacker, " sade Shatz, "även utan förstärkning. En del av problemet är att fler och fler användare har bredband, så botnät kan använda mer bandbredd." Men det största problemet är anonymitet. Om hackare kan förfalska IP-adressen till ursprunget blir attacken ospårbar. Shatz konstaterade att det enda sättet vi känner CyberBunker som angriparen i SpamHaus-fallet är att en representant för gruppen krävde kredit.
Ett tretton år gammalt dokument som heter BCP 38 stavar tydligt en teknik för "Att besegra avslag på serviceangrepp som utnyttjar IP-källans adressförfalskning." Shatz konstaterade att mindre leverantörer kanske inte är medvetna om BCP 38, men ändå omfattande genomförande kan "stänga av falskhet vid kanterna, killarna faktiskt ger ut IP-adresser."
Ett problem på högre nivå
Att kontrollera ditt företags DNS-upplösare med den teknik som jag beskrev kan inte skada, men för en verklig lösning behöver du en granskning av en nätverksekspert, någon som kan förstå och genomföra alla nödvändiga säkerhetsåtgärder. Även om du har en nätverksexpert i huset, antar inte att han redan har tagit hand om detta. IT-professionella Trevor Pott medgav i registret att hans egen DNS-resolver hade använts i attacken mot SpamHaus.
En sak är säker; de onda kommer inte att sluta bara för att vi stänger av en viss typ av attack. De byter bara till en annan teknik. Att riva av masken, dock ta bort sin anonymitet, kan det faktiskt göra något bra.
